銳捷防ARP欺騙解決方案.ppt

1、銳捷防ARP欺騙解決方案,技術(shù)培訓(xùn)中心 2009-09,修訂記錄,2,學(xué)習(xí)目標(biāo),掌握ARP協(xié)議及ARP欺騙原理 掌握銳捷網(wǎng)絡(luò)防ARP欺騙解決方案的應(yīng)用場(chǎng)合 掌握銳捷網(wǎng)絡(luò)防ARP欺騙解決方案的配置,3,課程內(nèi)容,第一章：ARP協(xié)議原理 第二章：ARP欺騙攻擊概述 第三章：常見ARP欺騙“應(yīng)付”手段 第四章：銳捷網(wǎng)絡(luò)ARP欺騙解決方案,4,ARP協(xié)議原理,ARP協(xié)議是“Address Resolution Protocol”（地址解析協(xié)議）的縮寫。根據(jù)TCP/IP層次模型，在以太網(wǎng)中，一個(gè)主機(jī)要和另一個(gè)主機(jī)進(jìn)行直接通信，必須知道目標(biāo)主機(jī)的MAC地址。 在現(xiàn)實(shí)環(huán)境中，一般采用IP地址標(biāo)示通信的對(duì)象，

2、而ARP的功能就是將IP翻譯成對(duì)應(yīng)的MAC地址。 IP：姓名 MAC：姓名對(duì)應(yīng)的手機(jī)號(hào) ARP表：電話號(hào)碼簿,5,ARP過(guò)程,6,正常的ARP通訊過(guò)程只需廣播ARP Request和單播ARP Replay兩個(gè)過(guò)程，簡(jiǎn)單的說(shuō)就是一問(wèn)一答：,ARP request,ARP reply,PC1,PC2,IP:192.168.0.1 MAC:00d0.f800.0001,IP:192.168.0.2 MAC:00d0.f800.0002,PC3,PCN,課程內(nèi)容,第一章：ARP協(xié)議原理 第二章：ARP欺騙攻擊概述 第三章：常見ARP欺騙“應(yīng)付”手段 第四章：銳捷網(wǎng)絡(luò)ARP欺騙解決方案,7,正常情況下

3、的ARP表,8,網(wǎng)關(guān),PC2,PC1,192.168.0.1 00d0.f800.0001,192.168.0.2 00d0.f800.0002,192.168.0.254 001a.a908.9f0b,PC與設(shè)備之間相互通信后形成的ARP表,ARP Request報(bào)文更新ARP表的條件 ARP報(bào)文中Target IP為自己 用ARP報(bào)文中的Sender MAC與Sender IP更新自己的ARP表,ARP表變化-ARP Request,9,網(wǎng)關(guān),PC2,PC1,192.168.0.1 00d0.f800.0001,192.168.0.2 00d0.f800.0002,192.168.0.25

4、4 001a.a908.9f0b,Cheat（ARP Request）,ARP表變化-ARP Reply,10,網(wǎng)關(guān),PC2,PC1,192.168.0.1 00d0.f800.0001,192.168.0.2 00d0.f800.0002,192.168.0.254 001a.a908.9f0b,Cheat（ARP Reply）,ARP Reply報(bào)文更新ARP表的條件 ARP報(bào)文中Target IP為自己 當(dāng)前ARP表中已存在Sender IP的表項(xiàng) 用ARP報(bào)文中的Sender MAC與Sender IP更新自己的ARP表,ARP表變化- Gratuitous ARP,11,網(wǎng)關(guān),PC2

5、,PC1,192.168.0.1 00d0.f800.0001,192.168.0.2 00d0.f800.0002,192.168.0.254 001a.a908.9f0b,Cheat（ Gratuitous ARP）,Gratuitous ARP報(bào)文更新ARP表的條件 Gratuitous ARP是一種特殊的ARP Request/Replay報(bào)文，即Sender IP與Target IP一致 ARP報(bào)文中Target IP為自己 用ARP報(bào)文中的Sender MAC與Sender IP更新自己的ARP表,理解invalid ARP表項(xiàng),Invalid ARP表項(xiàng) ARP表中的MAC地址為

6、全零（Windows主機(jī)）或“No completed”（網(wǎng)絡(luò)設(shè)備） 產(chǎn)生原因 發(fā)送ARP Request后，為接收ARP Reply做準(zhǔn)備 大量存在的原因 同網(wǎng)段掃描（主機(jī)） 跨網(wǎng)段掃描（網(wǎng)絡(luò)設(shè)備）,12,IP地址發(fā)生沖突的條件 收到Gratuitous ARP報(bào)文，且Sender/Target IP與當(dāng)前IP一致，但Sender MAC與當(dāng)前MAC不同 當(dāng)針對(duì)主機(jī)或網(wǎng)絡(luò)設(shè)備發(fā)送上述報(bào)文時(shí)，即為IP沖突攻擊,主機(jī)或網(wǎng)絡(luò)設(shè)備怎樣判斷IP沖突,13,網(wǎng)關(guān),PC2,PC1,192.168.0.1 00d0.f800.0001,192.168.0.1 00d0.f800.0002,Gratuitou

7、s ARP,Gratuitous ARP,ARP欺騙攻擊分類-主機(jī)型,主機(jī)型ARP欺騙 欺騙者主機(jī)冒充網(wǎng)關(guān)設(shè)備對(duì)其他主機(jī)進(jìn)行欺騙,14,網(wǎng)關(guān),欺騙者,嗨，我是網(wǎng)關(guān),PC 1,ARP欺騙攻擊分類-網(wǎng)關(guān)型,網(wǎng)關(guān)型ARP欺騙 欺騙者主機(jī)冒充其他主機(jī)對(duì)網(wǎng)關(guān)設(shè)備進(jìn)行欺騙,15,網(wǎng)關(guān),欺騙者,嗨，我是PC1,PC 1,ARP欺騙攻擊目的,為什么產(chǎn)生ARP欺騙攻擊？ 表象：網(wǎng)絡(luò)通訊中斷 真實(shí)目的：截獲網(wǎng)絡(luò)通訊數(shù)據(jù),16,PC1,網(wǎng)關(guān),主機(jī)型,網(wǎng)關(guān)型,欺騙者,ARP欺騙攻擊緣何泛濫,屢禁不止的ARP欺騙 ARP欺騙的目的是截獲數(shù)據(jù)，例如銀行卡、游戲帳戶等，巨大的經(jīng)濟(jì)利益驅(qū)動(dòng)了ARP欺騙的發(fā)展 ARP欺騙實(shí)現(xiàn)原

8、理簡(jiǎn)單，變種極多，通過(guò)病毒網(wǎng)頁(yè)或木馬程序即可傳播，殺毒軟件的更新不能及時(shí)跟上病毒的變種 ARP欺騙是由于協(xié)議缺陷造成的，業(yè)界鮮有良好的解決方案,17,判斷ARP欺騙攻擊-主機(jī),怎樣判斷是否受到了ARP欺騙攻擊？ 網(wǎng)絡(luò)時(shí)斷時(shí)續(xù)或網(wǎng)速特別慢 在命令行提示符下執(zhí)行“arp d”命令就能好上一會(huì) 在命令行提示符下執(zhí)行“arp a”命令查看網(wǎng)關(guān)對(duì)應(yīng)的MAC地址發(fā)生了改變,18,判斷ARP欺騙攻擊-網(wǎng)關(guān)設(shè)備,網(wǎng)關(guān)設(shè)備怎樣判斷是否受到了ARP欺騙攻擊？ ARP表中同一個(gè)MAC對(duì)應(yīng)許多IP地址,19,課程內(nèi)容,第一章：ARP協(xié)議原理 第二章：ARP欺騙攻擊概述 第三章：常見ARP欺騙“應(yīng)付”手段 第四章：銳捷

9、網(wǎng)絡(luò)ARP欺騙解決方案,20,1、常見ARP欺騙“應(yīng)付”手段-雙向綁定,手工設(shè)置靜態(tài)ARP表項(xiàng) 靜態(tài)ARP優(yōu)先級(jí)高于動(dòng)態(tài)ARP表項(xiàng) 分別在網(wǎng)關(guān)設(shè)備與用戶主機(jī)上配置靜態(tài)ARP表項(xiàng) 工作維護(hù)量大，網(wǎng)關(guān)設(shè)備、用戶都需要進(jìn)行操作,21,可有效解決ARP欺騙,2、常見ARP欺騙“應(yīng)付”手段-ARP防火墻,ARP防火墻 軟件定期向網(wǎng)關(guān)發(fā)送Gratuitous ARP，以通告自己正確的ARP信息 發(fā)送頻率過(guò)高嚴(yán)重占用網(wǎng)絡(luò)帶寬 發(fā)送頻率過(guò)低則達(dá)不到防范目的 惹禍的ARP防火墻（摘錄自部分著名院校網(wǎng)絡(luò)中心通知） 中國(guó)科技大學(xué)：對(duì)于異常多arp請(qǐng)求，請(qǐng)禁用xx防火墻的arp攻擊防御功能 中山大學(xué)：當(dāng)打開xx防火墻

10、的arp防護(hù)功能時(shí),防火墻會(huì)以每秒1000個(gè)arp包的向外廣播,詢問(wèn)同一個(gè)地址 四川大學(xué)：裝xx防火墻的主機(jī)在發(fā)現(xiàn)網(wǎng)上有ARP欺騙的時(shí)候會(huì)發(fā)送大量廣播包，致使正常網(wǎng)絡(luò)出現(xiàn)中斷,22,不能解決ARP欺騙,3、常見ARP欺騙“應(yīng)付”手段-Cisco方案,DAI + PVLAN DAI為動(dòng)態(tài)ARP檢測(cè)，網(wǎng)關(guān)通過(guò)DHCP Snooping確保網(wǎng)關(guān)ARP表的正確性，即防止了網(wǎng)關(guān)型ARP欺騙的發(fā)生 PVLAN的isolate vlan方式將主機(jī)之間的通訊隔離，防止了主機(jī)型ARP欺騙的發(fā)生 網(wǎng)關(guān)設(shè)備與接入設(shè)備必須同時(shí)支持相應(yīng)的功能，同時(shí)主機(jī)之間將不能互訪，致使很多局域網(wǎng)通訊失效。,23,支持DAI功能的網(wǎng)關(guān)

11、設(shè)備,支持PVLAN的接入設(shè)備,可有效解決ARP欺騙,附：port-security能防范ARP嗎,port-security處理流程 當(dāng)一個(gè)未帶IP頭部的報(bào)文（二層）經(jīng)過(guò)port-security端口時(shí)，校驗(yàn)其DLC的MAC部分與配置的安全MAC是否一致 當(dāng)一個(gè)帶IP頭部（三層）的報(bào)文經(jīng)過(guò)port-security端口時(shí) 校驗(yàn)其DLC的MAC是否與配置的安全MAC一致 校驗(yàn)其IP是否與配置的安全I(xiàn)P一致 port-security處理ARP報(bào)文流程 ARP報(bào)文不帶IP頭部 port-security校驗(yàn)其DLC的MAC是否與配置的安全MAC一致,24,port-security不能解決ARP

12、欺騙,課程內(nèi)容,第一章：ARP協(xié)議原理 第二章：ARP欺騙攻擊概述 第三章：常見ARP欺騙“應(yīng)付”手段 第四章：銳捷網(wǎng)絡(luò)ARP欺騙解決方案,25,銳捷網(wǎng)絡(luò)完美解決ARP欺騙,銳捷網(wǎng)絡(luò)堅(jiān)持走自主研發(fā)的發(fā)展道路，在整個(gè)業(yè)界對(duì)ARP欺騙感到比較頭疼時(shí)，率先推出了一系列成熟的ARP欺騙解決方案。 配置難嗎？ 多數(shù)方案只需幾條命令 成本高嗎？ 銳捷低端接入S21系列交換機(jī)即可。S21自推出已經(jīng)有六年之久，通過(guò)不斷更新軟件版本實(shí)現(xiàn)新的功能，嚴(yán)格保護(hù)用戶的投資。,26,S21系列交換機(jī)誕生于六年前,兩個(gè)概念,安全地址 主機(jī)真實(shí)的IP與MAC地址 在主機(jī)發(fā)送ARP報(bào)文前獲得 ARP報(bào)文校驗(yàn) 檢查ARP報(bào)文中S

13、enders MAC與安全地址中的MAC是否一致，否則丟棄 檢查ARP報(bào)文中Senders IP與安全地址中的IP是否一致，否則丟棄,27,防ARP欺騙原理,28,流程圖,安全地址獲取,丟棄,轉(zhuǎn)發(fā),ARP報(bào)文校驗(yàn),ARP報(bào)文S/T字段是否與安全地址一致,ARP報(bào)文,是,否,安全地址的獲取是防ARP欺騙的前提，ARP報(bào)文校驗(yàn)是防ARP欺騙的手段,安全地址,定義 主機(jī)的真實(shí)信息 IP+MAC地址組成 獲取方式 手工指定 port-security 自動(dòng)獲取 DHCP Snooping Dot1x認(rèn)證,29,安全地址的處理,什么是ACE 交換機(jī)端口形成的硬件資源表項(xiàng) 通過(guò)硬件對(duì)報(bào)文的轉(zhuǎn)發(fā)進(jìn)行判斷 端

14、口策略 未配置安全地址時(shí) permit any any any any 配置安全地址后 permit mac1 ip1 any any permit mac2 ip2 any any permit macN ipN any any deny any any any any,30,ACE,丟棄,轉(zhuǎn)發(fā),0/1比特位,ARP-check 原理： 提取ACE中IP+MAC對(duì)的信息 在原有ACE（過(guò)濾IP+MAC）的基礎(chǔ)上形成新的ACE（過(guò)濾ARP） 應(yīng)用后端口策略 permit mac1 ip1 any any permit arp smac1 sip1 any any deny any any an

15、y any 注意事項(xiàng)：ARP-check功能開啟后，如果ACE中不存在安全地址，則所有的ARP報(bào)文將被丟棄,ARP報(bào)文校驗(yàn)方式一（ARP-check）,31,交換機(jī)端口,ACE,丟棄,轉(zhuǎn)發(fā),0/1比特位,ARP報(bào)文校驗(yàn)二（DAI）,DAI 原理： 提取DHCP Snooping表中的IP+MAC信息 通過(guò)CPU過(guò)濾SMAC/SIP不在Snopping表中的ARP報(bào)文 注意事項(xiàng)：DAI功能開啟開啟后，如果DHCP Snooping表為空，則所有的ARP報(bào)文將被丟棄,32,交換機(jī)端口,CPU,丟棄,轉(zhuǎn)發(fā),0/1比特位,1.1、port-security + ARP-check方案概述,原理 通過(guò)p

16、ort-security功能將用戶正確的IP與MAC寫入交換機(jī)端口ACE 使用ARP-check功能校驗(yàn)ARP報(bào)文的正確性 應(yīng)用場(chǎng)景 用戶使用靜態(tài)IP地址 無(wú)安全認(rèn)證措施 缺點(diǎn) 需要收集所有用戶的IP、MAC，將其配置到端口上 當(dāng)用戶接入端口發(fā)生變化時(shí)，需重新設(shè)置安全地址,33,網(wǎng)絡(luò)拓?fù)?主要配置（10.x平臺(tái)）,1.2、port-security + ARP-check方案實(shí)施,34,192.168.0.1 00d0.f800.0001,192.168.0.2 00d0.f800.0002,Fa 0/1,Fa 0/2,interface FastEthernet 0/1 switchport

17、 port-security mac-address 00d0.0000.0001 ip-address 192.168.0.1 switchport port-security arp-check auto ! interface FastEthernet 0/2 switchport port-security mac-address 00d0.0000.0002 ip-address 192.168.0.2 switchport port-security arp-check auto,2.1、DHCP Snooping + address-bind + ARP-check方案實(shí)施,原理

18、 通過(guò)DHCP Snooping功能將用戶正確的IP與MAC寫入交換機(jī)的DHCP Snooping表 通過(guò)DHCP Snoopoing address-bind將DHCP Snooping表的寫入交換機(jī)的ACE（類似端口安全） 使用ARP-check功能校驗(yàn)ARP報(bào)文的正確性 應(yīng)用場(chǎng)景 用戶使用動(dòng)態(tài)IP地址 同樣適用于SAM認(rèn)證環(huán)境（限S21交換機(jī)） 動(dòng)態(tài)環(huán)境下如果使用安全通道，請(qǐng)勿在安全通道中允許ARP報(bào)文通過(guò) 缺點(diǎn) 無(wú),35,網(wǎng)絡(luò)拓?fù)?主要配置（10.x平臺(tái)）,2.2、DHCP Snooping + address-bind + ARP-check方案實(shí)施,36,DHCP 00d0.f80

19、0.0001,DHCP 00d0.f800.0002,Fa 0/1,Fa 0/2,ip dhcp snooping ! interface FastEthernet 0/1 ip dhcp snooping address-bind arp-check auto ! interface FastEthernet 0/2 ip dhcp snooping address-bind arp-check auto ! interface FastEthernet 0/24 ip dhcp snooping trust,Uplink：Fa 0/24,2.3、DHCP Snooping + addres

20、s-bind + ARP-check方案級(jí)聯(lián)優(yōu)化,37,Uplink,trust,trust,多臺(tái)交換機(jī)級(jí)聯(lián)時(shí)，為避免上面一臺(tái)交換機(jī)針對(duì)下聯(lián)交換機(jī)上的用戶重復(fù)進(jìn)行地址綁定與ARP報(bào)文校驗(yàn)，請(qǐng)將下聯(lián)其他交換機(jī)的接口啟用ip dhcp snooping trust,3.1、DHCP Snooping + IP Source guard + ARP-check方案實(shí)施,原理 通過(guò)DHCP Snooping功能將用戶正確的IP與MAC寫入交換機(jī)的DHCP Snooping表 通過(guò)IP Source guard將DHCP Snooping表的寫入交換機(jī)的ACE（類似端口安全） 使用ARP-check功能

21、校驗(yàn)ARP報(bào)文的正確性 應(yīng)用場(chǎng)景 用戶使用動(dòng)態(tài)IP地址 同樣適用于SAM認(rèn)證環(huán)境 動(dòng)態(tài)環(huán)境下如果使用安全通道，請(qǐng)勿在安全通道中允許ARP報(bào)文通過(guò) 缺點(diǎn) 無(wú),38,網(wǎng)絡(luò)拓?fù)?主要配置（10.x平臺(tái)）,3.2、DHCP Snooping + IP Source guard + ARP-check方案實(shí)施,39,DHCP 00d0.f800.0001,DHCP 00d0.f800.0002,Fa 0/1,Fa 0/2,ip dhcp snooping ! interface FastEthernet 0/1 ip verify source arp-check auto ! interface Fa

22、stEthernet 0/2 ip verify source arp-check auto ! interface FastEthernet 0/24 ip dhcp snooping trust,Uplink：Fa 0/24,3.3、DHCP Snooping + IP Source guard + ARP-check方案級(jí)聯(lián)優(yōu)化,40,Uplink,trust,trust,多臺(tái)交換機(jī)級(jí)聯(lián)時(shí)，為避免上面一臺(tái)交換機(jī)針對(duì)下聯(lián)交換機(jī)上的用戶重復(fù)進(jìn)行地址綁定與ARP報(bào)文校驗(yàn)，請(qǐng)將下聯(lián)其他交換機(jī)的接口啟用ip dhcp snooping trust,4.1、DHCP Snooping + DAI方案

23、概述,原理 通過(guò)DHCP Snooping功能將用戶正確的IP與MAC寫入交換機(jī)的DHCP Snooping表 使用DAI功能校驗(yàn)ARP報(bào)文的正確性 應(yīng)用場(chǎng)景 用戶使用動(dòng)態(tài)IP地址 同樣適用于SAM認(rèn)證環(huán)境 缺點(diǎn) DAI功能需通過(guò)CPU處理，大量的ARP報(bào)文可能導(dǎo)致CPU過(guò)高,41,網(wǎng)絡(luò)拓?fù)?主要配置（10.x平臺(tái)）,4.2、DHCP Snooping + DAI方案實(shí)施,42,DHCP 00d0.f800.0001,DHCP 00d0.f800.0002,Fa 0/1：VLAN 10,Fa 0/2：VLAN 10,ip dhcp snooping ! ip arp inspection vl

24、an 10 ! interface FastEthernet 0/1 ! interface FastEthernet 0/2 ! interface FastEthernet 0/24 ip dhcp snooping trust ip arp inspection trust,Uplink：Fa 0/24,4.3、 DHCP Snooping + DAI方案級(jí)聯(lián)優(yōu)化,43,Uplink,trust,trust,多臺(tái)交換機(jī)級(jí)聯(lián)時(shí)，為避免上面一臺(tái)交換機(jī)正對(duì)下聯(lián)交換機(jī)上的用戶重復(fù)進(jìn)行dhcp snooping 與ARP報(bào)文校驗(yàn)，請(qǐng)將下聯(lián)其他交換機(jī)的接口啟用ip dhcp snooping tru

25、st及ip arp inspection trust,5.1、SAM + Supplicant授權(quán)方案概述,原理 用戶通過(guò)SAM認(rèn)證后，交換機(jī)會(huì)將用戶的MAC信息寫入ACE 交換機(jī)開啟Supplicant授權(quán)，交換機(jī)會(huì)將用戶的IP信息寫入ACE 使用ARP-check功能校驗(yàn)ARP報(bào)文的正確性 應(yīng)用場(chǎng)景 用戶使用靜態(tài)IP地址 用戶使用SAM認(rèn)證 缺點(diǎn) 不能使用安全通道功能,44,網(wǎng)絡(luò)拓?fù)?主要配置（10.x平臺(tái)）,5.2、SAM + Supplicant授權(quán)方案實(shí)施,45,192.168.0.1 00d0.f800.0001,192.168.0.2 00d0.f800.0002,Fa 0/1：

26、VLAN 10,Fa 0/2：VLAN 10,aaa authorization ip-auth-mode supplicant ! interface FastEthernet 0/1 switchport access vlan 10 arp-check auto dot1x port-control auto ! interface FastEthernet 0/2 switchport access vlan 10 arp-check auto dot1x port-control auto,附.1、ARP欺騙免疫（GSN）概述,原理 用戶認(rèn)證后SMP服務(wù)器下發(fā)策略，通過(guò)Su建立網(wǎng)關(guān)靜態(tài)ARP表項(xiàng) 用戶認(rèn)證后SMP服務(wù)器下發(fā)策略，在網(wǎng)關(guān)建立用戶的可信任ARP表項(xiàng) 應(yīng)用場(chǎng)景 用戶使用IP地址類型不限（動(dòng)態(tài)或靜態(tài)） 用戶使用GSN系統(tǒng) 缺點(diǎn) ARP欺騙免疫與前面介紹的方案原理不同，該方案是在網(wǎng)關(guān)與客戶之間自動(dòng)建立靜態(tài)ARP表項(xiàng)，而非杜絕用戶發(fā)送欺騙報(bào)文 該方案不能解決主機(jī)之間的欺騙 需要網(wǎng)關(guān)設(shè)備支持ARP欺騙免疫功能,46,網(wǎng)絡(luò)拓?fù)?網(wǎng)關(guān)交換機(jī)主要配置,附.2、 ARP欺騙免疫（GSN）方案實(shí)施,47,Static/DHCP 00d0